La Corée du Nord s’empare de 500 millions de dollars en crypto lors d’un blitz de trois semaines

Les hackers nord-coréens viennent de dérober plus de 500 millions de dollars aux plateformes de finance décentralisée en moins de trois semaines. Ce vol s’ajoute à la pile croissante d’actifs numériques volés par Pyongyang, qui, selon les autorités, finance les programmes d’armement du régime. Les chercheurs en sécurité s’efforcent de comprendre comment les attaques ont pu se produire si rapidement.

Deux exploits massifs ont permis à la Corée du Nord de dépasser les 700 millions de dollars de crypto en 2026. KelpDAO a été touché le 18 avril, perdant 290 millions de dollars dans ce que LayerZero a confirmé deux jours plus tard comme une opération TraderTraitor—la signature du groupe Lazarus. Avant cela, Drift Protocol sur Solana a perdu 286 millions de dollars le 1er avril, en faisant l’une des plus grandes catastrophes DeFi de l’année. Elliptic, l’entreprise de renseignement blockchain, a relié les deux attaques à des schémas nord-coréens qu’ils suivent. Ils ont compté au moins 18 opérations similaires cette année seulement.

Comment les hackers sont entrés

Le mode opératoire a changé. Les équipes nord-coréennes ne s’en prennent plus aux contrats intelligents principaux. Elles visent désormais les éléments périphériques.

La brèche de KelpDAO est survenue via l’infrastructure Remote Procedure Call que LayerZero Labs utilise pour son réseau de vérification décentralisé. Les attaquants n’ont pas eu besoin de casser la cryptographie principale—ils ont simplement trouvé une porte dérobée à travers les systèmes périphériques et sont entrés. LayerZero a dû déprécier les nœuds compromis et relancer les opérations à partir de zéro. C’est un jeu différent maintenant, et pratiquement tout le monde dans DeFi est vulnérable s’ils ne surveillent pas l’ensemble de leur infrastructure.

Le projet Ketman a passé six mois à creuser quelque chose de pire. Il s’avère qu’environ 100 agents nord-coréens occupent des emplois dans des entreprises blockchain à travers le monde. De vrais emplois. Ils utilisent de fausses identités, passent les vérifications de fond, rejoignent les équipes de produits. Une fois à l’intérieur, ils peuvent tout voir—les bases de code, les protocoles de sécurité, les calendriers de déploiement. Quand le moment est venu, ils frappent. ZachXBT a exposé un réseau qui génère environ 1 million de dollars par mois uniquement grâce à des conversions frauduleuses de crypto en fiat. C’est séparé des grands braquages.

Où va l’argent

Le total des crypto-actifs de la Corée du Nord s’élève à 6,75 milliards de dollars, selon les estimations de l’industrie. L’année dernière, ils ont saisi 2 milliards de dollars, y compris un score de 1,5 milliard de dollars de l’échange Bybit. Les schémas de blanchiment sont spécifiques et un peu étranges. Ils évitent presque entièrement les échanges décentralisés. Au lieu de cela, ils utilisent des services de garantie en langue chinoise et des réseaux de courtiers de gré à gré que la plupart des entreprises occidentales n’utilisent pas. Les chercheurs pensent que ce n’est pas par choix—cela signifie probablement qu’ils ne peuvent pas accéder aux voies de sortie habituelles sans se faire prendre.

La traçabilité de l’argent montre des limites structurelles dans la manière dont Pyongyang peut déplacer les actifs numériques. Le mélange inter-chaînes aide à obscurcir les choses, mais la dépendance à des services géographiquement concentrés crée des points d’étranglement. Les forces de l’ordre savent où chercher. Ils ne peuvent tout simplement pas les fermer assez rapidement.

Les experts en sécurité continuent de dire la même chose : les plateformes DeFi ont besoin de meilleurs contrôles d’accès internes et d’une réponse aux incidents plus rapide. Les points faibles ne se trouvent pas toujours dans le code lui-même. Parfois, c’est l’infrastructure. Parfois, ce sont les gens.

Plus de contexte : La Corée du Nord dérobe 500 millions de dollars en deux semaines grâce à des exploits DeFi

La menace interne est réelle et croissante. Ces 100 agents nord-coréens intégrés dans les entreprises blockchain ne se contentent pas de percevoir des salaires. Ils collectent des renseignements, cartographient les systèmes, attendent le moment parfait pour exécuter des attaques coordonnées. Les vérifications standard des ressources humaines ne les détectent pas parce que les identités sont solides—documents, références, historiques de travail, tout est fabriqué mais suffisamment convaincant pour passer.

Ce modèle de double revenu fonctionne effroyablement bien pour le régime. Les travailleurs de l’IT génèrent un revenu mensuel stable tout en se positionnant simultanément pour de grandes exploitations de protocoles. Lorsqu’une grande attaque se produit, les enquêteurs trouvent souvent que l’accès interne a été établi des mois auparavant par quelqu’un qui semblait être un développeur ou ingénieur normal.

Les techniques de blanchiment révèlent quelque chose d’important sur les contraintes de la Corée du Nord. En s’en tenant à des voies régionalisées et en évitant les échanges grand public, les acteurs de la RPDC admettent en gros qu’ils ne peuvent pas opérer librement dans les systèmes financiers mondiaux. Les plateformes en langue chinoise et les courtiers OTC deviennent essentiels parce que les autres portes sont fermées. C’est une vulnérabilité, mais difficile à exploiter quand les réseaux s’étendent sur plusieurs juridictions et opèrent dans des zones grises réglementaires.

Le chiffre de 6,75 milliards de dollars représente des années d’efforts persistants et coordonnés. La Corée du Nord n’est pas tombée là-dessus par hasard. Ils ont construit une opération sophistiquée qui combine des compétences de hacking traditionnelles avec de l’ingénierie sociale, un accès interne et un blanchiment d’argent complexe. Le groupe Lazarus et ses ramifications comme TraderTraitor sont devenus compétents pour identifier les vulnérabilités dans les protocoles DeFi, exécuter des attaques avec précision et déplacer les fonds avant que quiconque ne puisse les geler.

Les attaques d’avril montrent à quelle vitesse les choses peuvent s’emballer. 500 millions de dollars en trois semaines n’est pas normal, même pour la Corée du Nord. Le rythme suggère soit des capacités améliorées, soit une accélération délibérée des opérations. Peut-être les deux. Les entreprises de sécurité partagent les renseignements sur les menaces plus rapidement maintenant, mais les hackers s’adaptent tout aussi vite. C’est une course aux armements, et les défenseurs perdent du terrain.

Les entreprises blockchain font face à un problème difficile sans solution facile. Comment dépister les agents utilisant des identités fausses de haute qualité ? Les vérifications de fond ne fonctionnent que si le fond est réel. Certaines entreprises mettent en œuvre des processus de vérification plus rigoureux, mais cela ralentit l’embauche et ne garantit pas de résultats. Les agents sont patients. Ils attendront des mois ou des années si nécessaire.

La réponse de l’industrie a été fragmentée. Certaines plateformes ont amélioré leur sécurité après les brèches d’avril. D’autres fonctionnent toujours avec les mêmes configurations vulnérables, espérant qu’elles ne seront pas les prochaines. La coordination entre les projets reste inégale, et le partage d’informations sur les menaces se fait trop lentement pour prévenir les attaques par imitation.

Le trésor de guerre crypto de 6,75 milliards de dollars de la Corée du Nord finance des essais de missiles, des programmes nucléaires, et maintient le régime à flot sous les sanctions internationales. Chaque braquage réussi rend le suivant plus facile à planifier et à exécuter.